Datenlöschung und Nachweispflicht
Die EU-Datenschutzverordnung zwingt Unternehmen umfangreiche Löschpflichten auf
Nicht nur die Themen, wie Unternehmen an Daten kommen, wo diese Daten gespeichert werden, sondern auch die Löschung persönlicher Daten sind in der Datenschutzgrundverordnung ein großer Bestandteil. Doch es reicht nicht “nur” die Daten zu löschen, sondern es greift zusätzlich das “Recht auf Vergessenwerden” – also das Personendaten unverzüglich zu löschen sind und nicht mehr nachvollziehbar sein dürfen. Zusätzlich besteht eine Nachweispflicht über die Löschung.
Was Sie als Unternehmen dabei beachten müssen, welche Pflichten Ihnen durch die EU-DSGVO auferlegt werden und welche Maßnahmen Sie bereits frühzeitig ergreifen sollen, finden Sie in dieser Infomail.
Regelungsinhalte des Artikel 17 DSGVO
Der Artikel 17 Absatz 1 Datenschutzgrundverordnung (DSGVO) regelt einerseits die Verpflichtung des Verantwortlichen nicht mehr benötigte Daten zu löschen und auf der anderen Seite das Recht der betroffenen Person die unverzügliche Löschung ihrer Daten beim Verantwortlichen zu verlangen. Personenbezogene Daten sind unverzüglich zu löschen, wenn
• die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind,
• die betroffene Person ihre Einwilligung widerruft und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt,
• die betroffene Person Widerspruch gegen die Verarbeitung einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen,
• die personenbezogenen Daten unrechtmäßig verarbeitet wurden,
• die Löschung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich ist oder,
• die personenbezogenen Daten eines Kindes in Bezug auf angebotene Dienste der Informationsgesellschaft, d.h. Internetangebote wie Medien, Webshops oder Online-Spiele erhoben wurden.
Der oder die Betroffene kann demnach beim Vorliegen auch nur einer dieser Voraussetzungen verlangen, dass ihre/seine Daten unverzüglich gelöscht werden. Durch die Löschung darf im Anschluss keinerlei Möglichkeit mehr bestehen, dass die Daten noch einmal verwertet werden.
Das „Recht auf Vergessen werden“ laut Artikel 17 DSGVO Absatz 2
Als Folge der Löschpflicht des Verantwortlichen, also beispielsweise des Unternehmens, welches die Daten von Interessenten, Kunden oder auch Mitarbeitern speichert, wird im Artikel 2 das Recht auf Vergessen geregelt. Dieses Recht greift immer dann, wenn die zu löschenden personenbezogen Daten öffentlich gemacht wurden. Der/die Betroffene kann somit verlangen, dass die personenbezogenen Daten auch bei dritten Parteien, wie beispielsweise Anbietern von Cloud-Services (SaaS) bewirkt wird. Diese werden über das Löschverlangen informiert und sind dazu verpflichtet, die personenbezogenen Daten „unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten“ zu entfernen.
Nachweispflicht
Wie in vielen Fällen des Datenschutzes ist leider eine einfache Aussage über die Nachweispflicht bzw. die Verjährung eines Nachweises nicht einfach zu treffen. Hierzu befindet sich nämlich keine Antwort in den DSGVO Gesetzestexten. Wir raten hierbei sich auf die Vorschriften des Gesetzes über Ordnungswidrigkeiten (OWiG) zu beziehen. Dies ist laut vieler Meinung der beste Weg um a) Datenminimierung zu erziehen und b) das Risiko einer Sanktion zu minimieren.
Der §31 OWiG regelt die sogenannte Verfolgungsverjährung und beschreibt, dass bei der Verfolgung von Ordnungswidrigkeiten, die nicht von anderen Gesetzen bestimmt sind, eine Verjährung nach drei Jahren nach beendeter Handlung (z. B. der Tag der Datenlöschung) beginnt. Die Festlegung der Verjährungs- und somit Nachweispflicht der Löschung bildet eine Basis des Löschkonzeptes.
Löschkonzept
Um bestimmte Regelung, wie die Aufbewahrungsfristen der einzelnen Datenkategorien, die Art der Löschung und auch die Zuständigkeiten zu dokumentieren, empfiehlt sich ein Löschkonzept zu erstellen. Dies ist nicht nur zur allgemeinen Dokumentation geeignet, sondern erfüllt auch, bei konkreter Umsetzung, den Grundsatz, dass man Daten nicht unbegrenzt speichern darf. Das Löschkonzept beinhaltet somit auch, dass Daten sofort gelöscht werden, wenn diese aktuell nicht mehr benötigt werden, wenn sie nicht den bereits dargestellten Ausnahmeregelungen widersprechen.
Es wird ebenfalls der Prozess der Datenlöschung festgelegt, sodass jeder Mitarbeitende eine Handlungsempfehlung vorliegen hat.
Es empfiehlt sich zu Beginn die Datenarten festzulegen, um eine Übersichtlichkeit zu erzielen. (Beispiele wären Buchhaltungsdaten, Kundenstammdaten, E-Mails etc.) Mit Hilfe der Datenarten können einzelne Löschklassen dokumentiert und mit den jeweiligen Löschfristen versehen werden.
Am Ende werden Standardlöschfristen festgelegt (z. B. „Sofort“, 42 Tage, 4 Jahre).
Zusätzlich regelt das Löschkonzept den Startzeitpunk der Frist, sodass am Ende ein umfangreiches Konstrukt mit konkreten Informationen zu sämtlichen Löscharten entsteht.
Empfehlung von LITC
Das Löschkonzept ist ein wichtiger Bestandteil der Dokumentation im Unternehmen und sollte im Zuge der Erstellung des Datenschutzkonzeptes ebenfalls eingeleitet werden. Durch eine umfangreiche Dokumentation sind Sie auf Löschverlangen gut vorbereitet, um fristgerecht und datenschutzkonform zu handeln und allen verantwortlichen Mitarbeitern die nötigen Informationen und Handlungsstränge zur Verfügung zu stellen. Sollten Sie bereits ein Löschkonzept besitzen, denken Sie bitte an die Aktualisierung, da sich die Rechtslage stetig weiterentwickelt. Sollten Sie dazu Fragen haben oder Unterstützung benötigen, sind wir selbstverständlich für Sie da.
Weiterführende Quellen:
– Blogartikel des QSCAG Blogs – Hans Markus Wulf
– Blogbeitrag auf Datenschutz-Guru.de
– Artikel 17 DSGVO auf intersoft consulting
– Anwendungshilfe für Artikel 17 DSGVO von Beratungsprozesse.de
Sie haben noch Fragen zu der Löschungspflicht im Unternehmen? Benötigen Sie noch Unterstützung oder eine Beratung zur Erstellung eines Löschkonzeptes? Melden Sie sich gerne bei uns. Schreiben Sie uns einfach eine E-Mail: info@litc.de